Vom Public-Key zu Phil Zimmermann und PGP

Ihr Paper New Directions in Cryptography gilt als Wegbereiter der Verschlüsse-lung mit öffentlichen austauschbaren Schlüsseln und einem asymmetrischen Verschlüsselungssystem, das bis heute in weit verbreiteten Verschlüsselungs-technologien angewandt wird (vgl. Diffie & Hellman 1976).

Die bahnbrechende Idee dieses Systems basiert darauf, dass jeder Nutzer des Systems zwei Schlüssel besitzt – also zwei Zeichencodes: einen öffentlichen und einen privaten. Aufgrund der mathematischen Finesse hinter diesem Sys-tem kann eine Nachricht, die mit einem der beiden Schlüssel verschlüsselt wurde, mit dem jeweils anderen entschlüsselt werden. Der öffentliche Schlüs-sel wird anderen Nutzern zugänglich gemacht und kann verbreitet werden, ohne dass dies die Sicherheit des Systems beeinflusst. Der private Schlüssel wird vom Nutzer geheim gehalten. Ein Angreifer, der nicht am E-Mail-Verkehr teilnimmt, kann eine Kommunikation nur dann entschlüsseln, wenn ihm beide Schlüssel zugänglich sind. Ansonsten sieht er von einer verschlüsselten E-Mail nicht mehr als eine wirre Zeichenkette. Ein Nutzer, der den öffentlichen Schüs-sel eines anderen Nutzers kennt, kann hingegen damit seine Nachricht an die-sen verschlüsseln, die vom Empfänger wiederum mit desdie-sen privatem Schlüs-sel entschlüsSchlüs-selt werden kann. 1977 wurde das Diffie-Hellmann-Schema von einer Gruppe junger Wissenschaftler am Massachussetts Institute for Techno-logy (MIT), die sich RSA nannte (abgeleitet von den Nachnamen Rivest, Shamir und Adleman) in Algorithmen implementiert. Sie meldeten ein Patent auf diese erste funktionierende Software an, die das Public-Key System umsetzte, und verkauften ihr Produkt an Unternehmen wie Apple, Microsoft oder das US-amerikanische Kommunikationsunternehmen AT&T (vgl. Levy 1993).

Aus der Sicht der Cypherpunks war diese Technologie ein großer Fortschritt, jedoch widerstrebte ihnen die Vorstellung, dass sie in den Händen einer einzi-gen Firma war, die damit ein möglicher Ansatzpunkt für politischen Druck sei-tens der Regierung sein könnte, die Technologie mit einer Hintertür oder tech-nischen Schwäche zu versehen.

Daraus resultiert die zweite wegweisende Erfindung, die kryptographischen Code in die Hände der Zivilgesellschaft brachte: die Software Pretty Good Pri-vacy (PGP), die durch Phil Zimmermann im Jahr 1991 entwickelt wurde (Nr.

22). PGP ist eine Verschlüsselungssoftware, die aufbauend auf dem Public-Key-Verfahren von Diffie und Hellman, E-Mail-Verschlüsselung ermöglicht – kostenlos und für jeden nutzbar.

Metaphorisch gesprochen ist die Verschlüsselung durch PGP wie ein Briefum-schlag für E-Mails, der sie für Außenstehende unlesbar macht. Zimmermann schrieb in einer Erklärung, warum er PGP entwickelte:

»What if everyone believed that law-abiding citizens should use postcards for their mail? If some brave soul tried to assert his privacy by using an envelope for his mail, it would draw suspicion. Perhaps the authorities would open his mail to see what he’s hiding. Fortunately, we don’t live in that kind of world, because everyone protects most of their mail with envelopes. So no one draws suspicion by asserting their privacy with an envelope. There’s safety in num-bers. Analogously, it would be nice if everyone routinely used encryption for all their e-mail, innocent or not, so that no one drew suspicion by asserting their e-mail privacy with encryption. Think of it as a form of solidarity« (ebd.).

Zimmermann entwickelte PGP allein, auf eigene Kosten (was ihn fast sein Haus gekostet hätte) und aus der politischen Überzeugung, dass private Kommuni-kation demokratische Grundrechte schützt.

»Throughout the 1990s, I figured that if we want to resist this unsettling trend in the government to outlaw cryptography, one measure we can apply is to use cryptography as much as we can now while it’s still legal. When use of strong cryptography becomes popular, it’s harder for the government to criminalize it.

Therefore, using PGP is good for preserving democracy. If privacy is outlawed, only outlaws will have privacy« (Zimmerman 1991).

Für die Entwicklung von PGP nutzte Zimmermann den RSA-Softwarecode (vgl.

Stay 2012: 584). Er befürchtete, dass die amerikanische Regierung die nicht-staatliche Nutzung von Kryptographie verbieten würde, was sich beispielswei-se durch das Senate Bill 266 zur Terrorismusbekämpfung andeutete (vgl. Levy 2001: 195), und entschied sich daher, PGP umsonst anzubieten, um der Regu-lierung des Verkaufs zu entgehen und die Verbreitung zu beschleunigen. Nach der Veröffentlichung dieser ersten Version boten sich freiwillig Programmierer an, den Code zu verbessern und für andere Computersysteme lauffähig zu machen. Vermutungen zufolge war es ein Freund von Zimmermann, der 1991 eine Kopie des Codes im Internet zu Verfügung stellte, woraufhin sich die Software international verbreitete.

Obwohl die Software ein voller Erfolg war und PGP tatsächlich einen zuvor nur militärisch genutzten Standard der Verschlüsselung für den Privatgebrauch bot, gab es bald zwei Probleme: Erstens war RSA davon überzeugt, dass Zimmer-mann das Patentrecht verletzt habe, indem er ihren Algorithmus verwendete, weshalb die Firma ihn verklagte (vgl. Ziccardi 2013: 115).

Zweitens hatte kryptographischer Code, und damit auch PGP, aufgrund der als International Traffic in Arms Regulations (ITAR) bekannten US-amerikanischen Exportbestimmungen denselben Status wie Munition (vgl. Stay 2012: 586). Der Export von Kryptographie war durch den Arms Export Control Act von 1976 verboten. Da PGP sich aber weltweit über das Internet verbreitete, musste sich Zimmermann über drei Jahre vor Gericht gegen eine Strafanzeige verteidigen, da die US-amerikanische Regierung diese Exportgesetze durch seine Erfin-dung verletzt sah. 1996 ließ die Regierung die Anklage gegen Zimmermann aus Mangel an Beweisen fallen, da man ihm nicht nachweisen konnte, dass er per-sönlich PGP verbreitet hatte. Die Kontroverse mit der RSA konnte außerge-richtlich geklärt werden und mündete sogar in eine Zusammenarbeit an einer verbesserten Version von PGP. Anzumerken ist jedoch, dass, auch wenn Zim-mermann in den USA für die Entwicklung von PGP nicht verurteilt wurde, die Anwendung der Software zeitweise in anderen Staaten rechtlich untersagt war bzw. ist (vgl. Gerhards 2010: 123). Auch ohne dass Zimmermann PGP selbst

explizit als Akt des zivilen Ungehorsams bezeichnet, liegt es daher aus ver-schiedenen Gründen nahe, seine Erfindung in diesem Kontext zu sehen. Zum einen musste er einen Rechtskonflikt in Kauf nehmen, um PGP zu veröffentli-chen. Darüber hinaus stellt PGP die technischen Mittel für strafrechtlich ver-folgte Praktiken in anderen nationalen Kontexten zu Verfügung, was private Kommunikation und politische Freiheit unter repressiven Bedingungen erst er-möglicht. PGP ist somit keineswegs eine nur disruptive oder symbolische Form des digitalen Ungehorsams, sondern lässt sich mittlerweile, aufgrund des ei-genmächtigen Ungehorsams von Zimmermann, tagtäglich als konstruktive Veränderung der digitalen Welt durch Ende-zu-Ende-Verschlüsselung von E-Mail-Verkehr und damit als Ermöglichung privater E-Mail-Kommunikation erle-ben.

Mittlerweile ist die globale Nutzung und Verbreitung von PGP (zumindest nach US-amerikanischen Gesetzen) erlaubt. PGP ist bis heute die global am häufigs-ten benutzte Software zur Verschlüsselung von E-Mails (vgl. Zimmermann 1996a).

Die Offensive der Cypherpunks und ähnlicher Aktivisten gegen die Regulation und Restriktion starker Verschlüsselungssoftware und für die zivile Nutzung wurde und wird häufig als Crypto War bezeichnet (vgl. Geminn 2015). Dieser nahm seinen Ausgang in den Entwicklungen der 1990er Jahre, entzündete sich jedoch erneut in aktuellen Debatten an der Frage, ob und wie private Ver-schlüsselung für staatliche Untersuchungsbehörden zu umgehen sein müsse.

Heute wie damals scheint die wachsende Nutzung von Verschlüsselungstech-nologien Regierungen und vor allem Geheimdienste zu beunruhigen, da die Einsicht in Kommunikationsvorgänge dadurch erheblich erschwert oder gar unmöglich wird.

»It is inconceivable, for authorities, that should exist areas that are non-inter-ceptable, in which it is possible to communicate in secret and in which users are truly anonymous. It is foreseeable, in the not so distant future, that there may be concerted attempts to seek to intensify, ostensibly for reasons of na-tional security, control of these grey areas which so worry governments and in which, perhaps paradoxically, citizens’ digital liberties are most fully manifest-ed« (Ziccardi 2013: 8).

Erwägungen zur nationalen Sicherheit, insbesondere das Interesse an der Be-kämpfung von kriminellen Netzwerken, die Verschlüsselungstechnologien für sich nutzen, führen immer wieder zur Überlegung der Kriminalisierung oder Umgehung von PETs (vgl. Bodó 2014).

Ein radikales Verschlüsselungsverbot ist kein rein hypothetisches Szenario. Die Juristin Julia Gerhards betont in ihrer Doktorarbeit:

»Auch wenn die Liste der Staaten mit einem absoluten Verschlüsselungsverbot bzw. einer staatlichen Genehmigungspflicht vor allem nicht-demokratische Staaten sowie postkommunistische Staaten des ehemaligen Ostblocks, die sich in einem noch andauernden Demokratisierungsprozess befinden, umfasst, darf ein absolutes Verschlüsselungsverbot nicht als für gefestigt demokratische Staaten irrelevantes Modell abgetan werden: Bis zum Jahr 1996 unterlag die Verwendung von Verschlüsselungsverfahren zum Schutz der Vertraulichkeit auch in Frankreich einer Genehmigungspflicht. 1994 sollte in den Niederlanden eine Genehmigungspflicht eingeführt werden. Auch in Deutschland fand Mitte der Neunziger Jahre eine so genannte Kryptokontroverse statt. Die restriktive Regulierung der Nutzung von Verschlüsselungsverfahren wurde etwa vom da-maligen Innenminister Manfred Kanther gefordert und auf politischer wie juristi-scher Ebene diskutiert« (Gerhards 2010: 121).

Ein sogenanntes Eckwertepapier der Bundesregierung zur Kryptopolitik, das 1999 veröffentlicht wurde, manifestierte in Deutschland die Entscheidung, die Nutzung von PETs nicht zu beschränken. Wie Gerhards argumentiert, wäre ein Verbot von Verschlüsselungstechnologien in Deutschland ohnehin höchstwahr-scheinlich verfassungswidrig. Gerhards leitet aus dem Recht auf informationel-le Selbstbestimmung und dem allgemeinen Persönlichkeitsrecht ein Recht auf Anonymität und auch auf Verschlüsselung ab (vgl. ebd.: 183).

Gleichzeitig legen beispielsweise die Snowden-Enthüllungen nahe, dass viele technologischen Lösungen zur Verschlüsselung von Daten bereits technische Hintertüren für eine eventuelle Entschlüsselung durch Ermittlungsbehörden in-tegrieren oder diese vorsehen (vgl. Greenwald et al. 2013b; vgl. Burgess 2016).

Auch Phil Zimmermann wurde persönlich mit Fragen der Abwägung zwischen nationaler Sicherheit, etwa der Abwehr terroristischer Akte, und der Privatsphä-re und KommunikationsfPrivatsphä-reiheit konfrontiert. Im Zusammenhang der Anschläge des 11. September wurde vermutet, dass die Terroristen PGP-Nutzer waren.

Zimmermanns Überlegungen sind nach wie vor aktuell:

»[S]trong cryptography does more good for a democratic society than harm, even if it can be used by terrorists. […] [S]ociety’s collective decision (over the FBI’s objections) was that on the whole, we would be better off with strong crypto, unencumbered with government back doors. […] Under the present emotional pressure, if we make a rash decision to reverse such a careful deci-sion, it will only lead to terrible mistakes that will not only hurt our democracy, but will also increase the vulnerability of our national information infrastructure«

(zitiert nach Ziccardi 2013: 116).

Was Zimmermann hier zuletzt betont, dass nämlich PGP eine Bedeutung für die Sicherheit der digitalen Infrastruktur habe, zeigt, wie bedeutsam die Ent-wicklung einer Software für die Machtverhältnisse der digitalen Welt sein kann.

PGP als dezentrale Anwendung findet zudem einflussreiche Mitstreiter im Be-reich des infrastrukturellen digitalen Ungehorsams, wenn es um Webseiten als zentralisierte Plattformen für Dienste geht, die den Raum des technisch und politisch Möglichen nachhaltig verändert haben. Ein Beispiel, das, wie man sa-gen kann, Netzgeschichte geschrieben hat, ist die Filesharing-Plattform The Pirate Bay.